Kevään ja alkukesän GDPR-informaatiotulva on kesän helteiden aikana kuihtunut pieniksi puroiksi. Voimme siis varmaan unohtaa koko homman, ja jatkaa liiketoimintaa niin kuin 25.5.2018 ennenkin.
Sorry, but no. Nyt viimeistään jokaisen yrityksen ja yhteisön pitää toimia, jos ei vielä ole muutoksia tekemiseen tullut. Tietosuojavaltuutettu Reijo Aarnion sanoin tuo historiaan jäänyt päivämäärä oli paremminkin alkuhetki, ei päätepiste. Nyt vasta mitataan, miten olemme ja olette onnistuneet suunnittelussa, asiakasprosessien haltuunotossa, alihankintasuhteissa, avoimuudessa ja ennen kaikkea osoitusvelvoitteen toteuttamisessa.
Kesän aikana on tapahtunut monia asioita GDPR:ään liittyen ympäri maailmaa. Yksi näkyvimmistä, vaikka ei ehkä monia suomalaisia henkilökohtaisesti koskevista ilmiöistä, on ollut USA:ssa eurooppalaisten kävijöiden pääsyn estäminen 1080 mediasivustolle. Kielletään varmuuden vuoksi kaikki, kun on epäselvää, mikä on sallittua!
Saksassa annettiin ensimmäinen langettava tuomioistuimen päätös GDPR:ään vedoten heinäkuussa. Domain-nimiä hallinnoiva järjestö halusi, että Saksassa tietoja keräävä järjestö hankkii domainin rekisteröinnin tehneen tahon teknisen ja hallinnollisen henkilön nimet ja yhteystiedot. Tietojen keruussa ei noudatettu tiedon minimoimista, eli kaikkea tietoa, mitä asianomainen halusi, ei ollut perusteltua kerätä. Tapaus on viety korkeimpaan oikeuteen ja toimii varmasti jonkinlaisena ennakkotapauksena. Myös isoja pelureita, kuten Facebookia ja Googlea vastaan on nostettu ryhmäkanteita GDPR:n rikkomisesta.

Rikollisetkin kieli pitkällä

Varoittava esimerkki tulee Bulgariasta, jossa järjestäytyneet rikolliset ovat alkaneet etsiä tietosuoja-aukkoja yritysten tietoverkoista. Löytäessään sellaisen he kiristävät yrityksiä tietovuodon julkistamisella. Maksamalla 1 000 – 20 000 dollaria yritys voi hoitaa asiansa kuntoon ilman GDPR-sanktioita. Mikä vaihtoehdoista olisi parempi, maksaa GDPR:n mukaiset sakot vai rahoittaa pienemmällä summalla uuttaa cyberrikollistoimintaa? Vai olisiko fiksuinta kuitenkin tehdä asiat kunnolla oma-aloitteisesti?
Suomen tietosuojavaltuutetun toimistoon on tullut satoja ilmoituksia mahdollisista tietoturvaloukkauksista. Mukaan mahtuu varmasti monia kepillä jäätä testaavia, mutta todennäköisesti tuosta joukosta huomautettavia toimenpiteitäkin löytyy. Vielä ei ole tullut vastaan suomalaista tapausta julkisuuteen asti, ennemmin tai myöhemmin varmasti. Mikä estää bulgarialaista toimintamallia jalkautumasta Suomeen – ei mikään.
Jos siis vielä epäröit, miten edetä GDPR:n kanssa, niin tutustu vaikka Asiakastiedon GDPR-sivustoon. Tarjoamme niin konkreettista palvelua kuin koulutusta aiheeseen liittyen ja olemme jo pystyneet helpottamaan satojen suomalaisyritysten huolia aiheen ympäriltä. Asian kuntoon saattaminen vaatii pienen ponnistuksen, mutta ei ole vaikea tehtävä. Se ei myöskään ole kertaprojekti, joka hoidetaan kuntoon, vaan sen huomioiminen täytyy ottaa osaksi jokapäiväistä toimintaa.
Ilman asianmukaista dataa ja sen hallintaa nykyaikainen yritys ei pysty toimimaan.

Rami Meling
Liiketoiminnan kehityspäällikkö
Suomen Asiakastieto Oy